Le vol d’identifiants a bondi de 160% en 2025. Ce phénomène est lié à un cinquième des violations de données, car les attaquants utilisent des techniques pilotées par l’intelligence artificielle pour contourner les défenses habituelles.
La mission des équipes de sécurité ne consiste plus seulement à vérifier une identité. Il faut aussi que cette vérification soit sûre et qu’elle ne bloque pas les utilisateurs légitimes. Des processus d’intégration faibles, une confiance excessive dans des identifiants statiques et des politiques d’authentification incohérentes ouvrent des opportunités que les attaquants exploitent.
Garantir une vérification d’identité maximale est devenu un pilier de la résilience cybernétique moderne. Voici cinq bonnes pratiques que les organisations peuvent adopter pour renforcer cette vérification et construire des contrôles d’accès plus solides.
1. Adopter une authentification multifacteur solide et facile à vivre
L’authentification multifacteur ou AMF reste l’un des moyens les plus efficaces pour renforcer la vérification d’identité et limiter le risque de compromission de compte. Au lieu de dépendre seulement d’un mot de passe, cette méthode exige que les utilisateurs prouvent leur identité avec au moins deux éléments distincts :
- Un élément que l’on connaît, comme un mot de passe ou un code PIN.
- Un élément que l’on possède, comme un smartphone, une application d’authentification ou une clé de sécurité matérielle.
- Un élément que l’on est, comme une empreinte digitale ou une reconnaissance faciale.
Selon les recommandations du NIST, l’AMF est plus robuste quand elle combine des facteurs de catégories différentes. Un mot de passe associé à un jeton matériel ou une application authentificatrice offre une protection bien supérieure à l’usage de plusieurs éléments basés sur la connaissance, comme les mots de passe et les questions de sécurité. Cependant, certaines implémentations faibles de l’AMF restent vulnérables à des attaques telles que le bombardement de notifications ou le détournement de carte SIM.
Pour améliorer la résistance face à ces techniques, les organisations doivent :
- Abandonner les codes à usage unique transmis par SMS ou email, car ils sont plus exposés à l’interception, au hameçonnage et à l’ingénierie sociale.
- Privilégier les méthodes d’AMF résistantes au phishing, comme les clés de sécurité FIDO2, les clés d’accès ou l’authentification par certificat.
- Utiliser des applications authentificatrices qui génèrent des codes locaux plutôt que des systèmes d’approbation par notification.
2. Protéger le support technique contre l’ingénierie sociale
Les services d’assistance sont souvent ciblés par l’ingénierie sociale, car ils se trouvent au carrefour des identités, des accès et des demandes urgentes des utilisateurs. Les attaquants se font passer pour des employés afin de persuader les agents du support de leur donner accès à des comptes, généralement via une demande de réinitialisation.
Ces attaques gagnent en sophistication. Les cybercriminels emploient désormais des audios truqués par l’intelligence artificielle ou des informations publiques pour rendre leurs requêtes crédibles.
Dans plusieurs intrusions retentissantes, comme celles qui ont touché Marks and Spencer et Clorox, la compromission du service d’assistance a été la première étape avant un déploiement de rançongiciel ou une propagation latérale. Pour l’enseigne britannique, l’attaque a entraîné cinq jours de suspension des ventes, avec des pertes quotidiennes estimées à 3,8 millions de livres sterling.
Le problème ne vient généralement pas d’un manque d’outils de sécurité, mais d’une vérification d’identité inconstante lors des interactions tendues avec le support.
3. Intégrer la confiance de l’appareil dans les décisions de vérification
La vérification d’identité moderne ne peut plus reposer uniquement sur des identifiants. Les attaquants volent aussi des cookies de session et des jetons d’AMF pour briser le processus d’authentification. Cela rend plus difficile la distinction entre un utilisateur légitime et un compte compromis, si l’on se base seulement sur les informations de connexion.
C’est pourquoi davantage d’organisations intègrent la notion de confiance de l’appareil dans leurs décisions d’authentification et d’accès.
Cette approche aide les équipes de sécurité à vérifier non seulement la personne qui tente de se connecter, mais aussi l’appareil qu’elle utilise. Au lieu de traiter tous les terminaux de la même manière, des politiques d’accès de confiance évaluent des signaux comme :
- Si l’appareil est géré par l’entreprise ou non.
- La version du système d’exploitation et son niveau de correction.
- La présence d’outils de protection des terminaux ou de détection et réponse des endpoints (EDR).
- Les certificats d’appareil ou des identifiants cryptographiques.
- La réputation du navigateur et l’intégrité de la session.
- Les signes de compromission, de logiciels malveillants, ou de déverrouillage du système.
Ces signaux ajoutent un contexte précieux aux flux de vérification d’identité. Par exemple, une connexion depuis un appareil reconnu et conforme sur le réseau interne peut nécessiter peu d’étapes. Les mêmes identifiants utilisés depuis un terminal non géré ou une plage d’adresses IP suspecte peuvent déclencher une authentification renforcée, un accès restreint ou un blocage pur et simple de la session.
4. Envisager l’usage des clés d’accès
L’AMF réduit considérablement le risque lié à des identifiants compromis, mais de nombreuses organisations cherchent désormais à dépasser le mot de passe. L’une des alternatives les plus adoptées est la clé d’accès.
Basées sur les standards FIDO2 et WebAuthn, les clés d’accès emploient la cryptographie à clé publique pour authentifier les utilisateurs sans transmettre de mot de passe sur le réseau. La clé privée reste stockée de manière sécurisée sur l’appareil de l’utilisateur, ce qui rend cette méthode résistante au hameçonnage, au vol d’identifiants et aux attaques par réutilisation de mots de passe.
Comme il n’y a pas de mot de passe à mémoriser ou à changer, les clés d’accès limitent aussi les obstacles pour les employés et les équipes informatiques.
Cependant, les clés d’accès ne remplacent pas encore complètement les mots de passe. Les organisations les utilisent encore comme méthodes de secours, notamment lors de la récupération de compte ou quand un utilisateur change d’appareil. Pour cette raison, des politiques de mots de passe robustes et une AMF résistante au phishing gardent un rôle important partout où les mots de passe persistent.
5. Protéger les données biométriques
L’authentification biométrique par empreinte digitale, reconnaissance faciale ou vocale renforce la vérification d’identité quand elle est bien mise en œuvre. Mais contrairement à un mot de passe, une donnée biométrique ne peut pas être simplement réinitialisée si elle est compromise. Sa protection est donc cruciale.
L’une des bonnes pratiques les plus importantes est d’éviter de stocker les données biométriques brutes autant que possible. Les organisations devraient plutôt stocker des modèles biométriques chiffrés et effectuer l’authentification localement sur des appareils de confiance.
Les technologies préservant la vie privée sont aussi de plus en plus utilisées dans les environnements à haute sécurité. Des techniques comme le chiffrement homomorphe permettent d’effectuer une correspondance biométrique sans exposer les données sous-jacentes, ce qui aide les organisations à réduire à la fois les risques de sécurité et les risques pour la vie privée.